自2022年2月24日俄乌冲突正式爆发以来,双方在网络上也展开了大规模、高强度的对抗。到目前为止的一年多以来,虽然俄使用各种手段试图瘫痪乌克兰的网络,但始终未能完全达成目标。其原因主要是乌克兰得到了大量外部支持和援助:包括微软、谷歌、SpaceX等西方科技巨头以及美国政府和军方的网络力量采取了迅速有力的行动,帮助乌克兰挫败俄罗斯的各种网络攻击,并且提供大量资源用于使乌克兰在军民两方面都能维持必要的上网条件而不中断。
本文就此梳理了俄乌冲突中网络战的发展主线,以及网络战背后美国军政与科技巨头在其中发挥的重要作用。后续篇目将聚焦俄乌冲突中的“认知战”,与君共享,敬请期待。
■微软公司的调查取证实验室
作者:网安观察员Walker
微软全程介入,星链随叫随到,谷歌保驾护航,FBI击退黑客,美网军远程防御……
2021年11月,人们发现俄罗斯逐渐在俄乌边境集结兵力,直至2022年2月,俄军已经形成了从北、东、南三面对乌克兰的包围之势。与此同时,正如人们事先所预料的那样,乌克兰的一些重要网站和网络基础设施又出现了被大规模攻击的情况。
■截至2021年12月3日俄军在乌克兰周围部署的情况
2022年1月14日,乌克兰有大约70个政府部门的网站由于遭受DDoS攻击和黑客入侵而瘫痪。遭受攻击的网站上出现了用三种语言(乌克兰语、俄语和波兰语)书写的警告:“乌克兰人!你们的所有个人数据都被上传到了公共互联网上。这是为你们的过去、现在和未来!”同时遭到攻击的还有Diia网站,这是一个包含政府服务的关键系统,存储有乌克兰全国公民的个人数据,包括疫苗接种数据和证书等。
2022年2月23日,乌克兰的政府、军事和银行网站从下午开始遭受越来越严重的网络DDoS攻击,在大规模分布式拒绝服务攻击的冲击之下,这些网站相继出现无法访问的状况。尽管军队和银行的网站由于有了更加充分的准备和增强的技术手段而比以前更快地恢复过来,但乌克兰安全局的网站仍然处于高延迟和不时的中断状态。
不过在2022年2月24日俄总统普京宣布在乌克兰开始“特别军事行动”之后,事态的发展出现了戏剧性的变化——乌克兰全境的互联网并没有像人们此前所预计的那样迅速陷于瘫痪,而是基本保持着正常运转,甚至在俄军重点攻击的各个地点如赫尔松、哈尔科夫、苏梅以及基辅等城市,网络服务仍然没有中断。
最为令人惊诧的是乌克兰东部濒临亚速海的港口城市马里乌波尔,在被俄军围攻几个月之后乌克兰人还能向外界传出各种战斗视频和图像等信息,难道传说中神通广大的俄罗斯网军忽然间就“大发慈悲”偃旗息鼓了吗?
你想多了。这可是战争。
■位于美国加州的卫星巨头和国防企业Viasat为美军提供通信服务,其卫星互联网服务KA-SAT在2022年2月底成为网络
随着战事的展开,乌克兰网络上的各种攻击行为层出不穷,包括重要网站被破坏、遭受拒绝服务攻击、继续出现各种破坏性恶意软件等等。微软发布的研究报告发现了多达9种恶意软件在活跃,包括WhisperGate、FoxBlade、SonicVote、CaddyWiper、DesertBlade、Industroyer2、Lasainraw、IssacWiper、FiberLake等;冲突开始还不到一个月,乌克兰政府就统计到了超过3000次对其系统的分布式拒绝服务攻击,包括一天内创下的275次记录。
2022年5月,美国太空军司令迪金森称俄罗斯正在干扰战场上的全球卫星定位系统(GPS)信号,而且这种干扰行动在冲突爆发之前就已经开始了。
2022年7月,谷歌报告称网上出现了一个伪装成要对俄罗斯网站发起攻击的恶意安卓App,其真实目的在于搜集网络上潜在的可能对俄罗斯不利的人员和设备的资料。
2022年10月,在苏洛维金被任命为俄军在乌克兰战场的最高指挥官之后,俄军的战略开始转变为对战线后方的乌克兰自来水、电力、燃气和通信等民用关键性基础设施进行大规模打击。其目的一方面是企图在冬天来临之际给乌克兰军民的生产生活制造困难,动摇其继续作战的意志,另一方面也可以借助这些打击使乌克兰全境的网络连接因断电或通信枢纽遭到直接攻击而崩溃。
■冲突爆发前直到2023年2月23日的乌克兰网络连接性指数变化情况
但图表的表现与人们在现实中的感受是相似的:乌克兰的网络抵抗住了冲突的冲击,尽管连通性变差了,但还在顽强地发挥着功用。
这究竟是为什么呢?
美国IT巨头微软公司的博客为我们揭开了这场看不见硝烟的战斗的冰山一角。
2022年2月28日,微软总裁兼董事会副主席布拉德·史密斯在博文中透露,微软的技术团队在2月24日俄军对乌克兰发起攻击当天成功协助乌克兰抵御了网络攻击。
就在2月24日俄罗斯军事行动开始前的几个小时,微软威胁情报中心警报响起,他们检测到新一轮针对乌克兰数字基础设施的进攻性和破坏性网络攻击。随后,微软实质上已经从距离战场8600多千米之外的西雅图参与到冲突中。
■微软公司的恶意软件实验室
布拉德·史密斯说,这些网络攻击都有精确的目标,并非平时那种不加分辨的恶意软件行为。在之后的几天内,微软继续向乌克兰提供了一系列网络攻击的威胁情报和防御建议,这些攻击的目标包括乌克兰军事机构、军工企业以及其他一些乌克兰政府机构。
■微软总裁布拉德·史密斯2022年1月在白宫与美国总统乔·拜登进行讨论。
■马斯克在给费多罗夫的回复中展示的星链设备已经运抵乌克兰的照片。
这样的速度,只能说美国人在这方面早有准备。
星链系统是埃隆·马斯克旗下SpaceX公司的一个低地球轨道小型通信卫星网络,目标是为了在全球提供高速互联网接入服务。截至2023年2月,SpaceX已经为星链系统发射了超过3580颗卫星,整个计划完成后预计将有近12000颗卫星在轨道上为人们提供服务,后续还可能继续扩展至42000颗。
与过去的卫星通信相比,星链系统的接收天线尺寸很小,耗电量低,通过移动电源就能使用,便于携带。其次,由于使用低轨道卫星进行通信,因此星链系统的连接速度更快,延迟更低,而且它不依赖传统的网络基础设施,很难被轻易切断。这些因素都让它成为冲突时期的理想选择。事实上就在星链系统进入乌克兰之后不久,俄军曾经试图对其进行干扰,但仅过了一天,SpaceX公司就通过远程更新固件的方式解决了问题。
星链系统已经在美国开始提供测试服务,每月花费100美元即可得到100Mbps的带宽(外加500美元的一次性终端设备费用),如果不够用的话还可以升级为500M带宽,当然价格也都要同样乘以5。这样的性能对于冲突期间的乌克兰军、警等方面应该是足够使用了。
■与原来的卫星通信设备相比,星链系统的终端天线非常小巧。
另一个美国科技巨头谷歌也在行动,他们目前正在帮助保护乌克兰的150个关键性网站免遭分布式拒绝服务攻击。
美国政府和军方同样没闲着。2022年4月6日美国联邦调查局宣布从黑客手中夺取了对数千台路由器和防火墙设备的控制,以阻止黑客利用CyclopsBlink恶意软件将这些设备变成“僵尸网络”以为己用。据称这些设备的制造商中包括了著名的华硕公司。
美国军方网络司令部司令、美国国家安全局局长保罗·中曾根在美国国会听证时透露,在冲突爆发前后,“该司令部在保护国内外的网络和关键基础设施方面发挥了关键作用……在乌克兰,网络司令部已经提供了远程分析支持并开展了网络防御行动。”
因此,表面上是乌克兰在抵御网络攻击,实际上则是美俄之间的角力,网络战如此,这场冲突的其他方面又何尝不是如此呢。
■2022年4月5日,美军网络司令部负责人保罗·中曾根参加美国参议院军事委员会的听证会
史上第一场通过网络进行直播的冲突——俄乌冲突告诉我们,作为一个独立作战域的网络空间战争已经降临。我们也看到美军正在充分利用这场冲突所提供的机会,来演练自己关于网络空间作战的各种理论、技术和战略战术。
缺乏整体作战规划。从冲突进程和表象上来看,俄军在网络战方面显然没有达到自己的预定目标,虽然一些攻击造成了乌克兰方面的混乱和损失,但在总体上他们不仅没能瘫痪乌克兰的网络,没能逼迫乌克兰在军事或者政治上作出让步或改变自己的原定计划,而且在网络舆论场上处于劣势,显得非常被动。美国智库战略与国际研究所的一份研究报告认为,“要使网络攻击获得成功,需要付出真正的努力。它需要良好的规划、工具开发和侦察,并且应该与其他进攻能力相结合。”
作战手段未能有效结合。从这个意义上来说,俄军的网络攻击行动可能没有达到这些标准,特别是它看上去与俄军的常规进攻行动缺乏协调,因此网络攻击所取得的效果未能被充分利用。实践证明,在现阶段网络攻击很难造成敌方人员和装备的实际损失,如果不能和其他攻击手段结合在一起,网络攻击所造成的破坏是暂时性的,可以被很快修复。这使其看上去似乎并没有那么有效。
战前轻敌。但这也可能是由于俄军在战前的轻敌所导致的后果。如果俄军认为自己可以轻易获得冲突的胜利,在乌克兰迅速建立起代理人政府,从而控制乌克兰全境的话,就没有必要规划并真正执行一个准备充分、全面详尽的网络攻击计划。而当冲突进程与战前的想象不相符合的时候,他们已经失去了网络空间作战的最佳时机。
制定国家网络安全战略。乌克兰的表现则让我们认识到,对于有准备和坚定的防御者来说,网络攻击尽管仍然会造成一些损失,但它并不是不可阻挡的。在2014年俄乌交恶并遭遇多次网络攻击之后,乌克兰在2016年颁布了一项国家网络安全战略,为本国的数据建立起一定的冗余和弹性,并且在网络上扩大了加密措施的使用范围。
采取国外数据托管。第三方托管。另外据报道,乌克兰还使用第三方托管将一些数据和服务转移到国外。
国内外民间援助。当然这些措施还不足以令乌克兰防范战争程度的网络攻击行动。来自外部和本国民间的援助在这方面发挥了关键性的作用,这些资源使乌克兰能够对网络的关键性部位和系统进行实时监控,一旦发现异常情况就迅速采取行动。
由于不存在无法被攻击的网络,也不存在没有任何漏洞的软件,不可能期望自己的网络设施永远牢固,因此实时监控和快速反应才是网络防御的不二法门。
俄乌冲突仍在持续,双方对于网络空间的争夺也没有一刻停息。网络战这种新型的战争形态,才刚刚开始。